这家证券公司成立于1986年,是中国最早的证券公司之一,也是一家具有全牌照业务资格的老牌券商。2020年到2022年最近三年,保荐IPO上市数量和保荐IPO过会均排名行业前五,它就是坚持“民生在勤 守正创新”理念的民生证券。
面对数字化转型浪潮,民生证券积极落地云计算、超级自动化、零信任等技术和理念,在数字风险管理信息安全建设上,民生证券也走在了行业前列。
11月9日,金证金融科技(北京) 公司的金融数字基建中心(以下简称“金数基”)团队以“数据要素新时代资本市场安全治理方法与实践”为主题举办安全沙龙,邀请行业侧、产业侧 40 余名安全负责人齐聚北京,分享实践案例、前沿解决方案、技术产品,共同探讨数字化转型背景下证券业、基金业安全建设的新思考、新洞察。
下面就从三个维度各自面临的难点与解决思路,介绍「数据要素新时代资本市场安全治理方法与实践」主题交流会上,民生证券信息技术中心信息安全负责人丁安安分享的攻击面管理实践,为更多企业客户提供数字风险管理解决方案参考。
(民生证券信息技术中心信息安全负责人丁安安)
「三步」打造攻击面管理体系
民生证券信息技术中心信息安全负责人丁安安指出,“当前网络安全形势日益严峻,0day漏洞、边隧道攻击、新型社工钓鱼等手段越发复杂,攻击手法不断升级,行业勒索病毒、数据泄露事件层出不穷。”在这一安全大背景下,民生证券攻击面管理体系在传统安全建设策略上,以风险为视角,通过资产测绘、常态化漏洞扫描、自动化模拟攻击、结合专项安全检测和对抗演练等途径,构建了以自动化多源信息收集、多维度攻击面发现、多阵营攻击面处置为框架的攻击面管理体系,而这也是丁安安信息安全建设的目标之一,即从根本上提升公司信息系统的安全水位。
第一步:自动化多源信息收集
不同于其他行业,由于证券系统涉及交易、投资等多个环节,且数据包含机构和个人投资者的敏感信息,一旦泄露将会给当事人带来严重后果。证券行业复杂多样的业务体系,使其服务和数据具有天然的敏感性,更因其金融属性,常常成为不法黑客眼中的“肥羊”。
民生证券攻击面管理体系依托白泽攻击面管理平台,通过互联网资产探测、CMDB的匹配和推送、漏洞和黑灰产情报收集公司资产信息的方式,实现自动化多源信息收集。丁安安指出,这一步不仅突破了传统资产探测模式的局限,更进一步通过生态协作的模式,全方位汇聚企业内外部数字资产、信息泄露资产、云资产信息,实现全网资产的可视化。
(民生证券信息技术中心信息安全负责人丁安安)
不仅「摸清家底」,还整理出一张安全整洁的资产台账和数字看板,驱动IT体系的完善,高效精准发现并消灭影子资产,反向驱动IT制度流程的完善。
第二步:多维度攻击面发现
「摸清家底」只是攻击面管理的第一步。丁安安表示,安全建设过程中常常面临有限人员难以有效监控资产暴露,且无法快速定位存在安全隐患的中间件、软件、产品、应用的一系列数字风险管理难题。民生证券攻击面管理体系则从风险角度出发,采用“攻击者视角”进行资产收集和攻击尝试,重新合理分配安全防御资源和能力,重塑安全能力。
实践过程中,民生证券攻击面管理体系依托白泽攻击面管理平台,通过常态化、定期、专题、专项的安全扫描、检测和演练深挖潜在高危风险。不仅可以解决安全建设中信息系统历史遗留的“沉疴痼疾”,还可以有效避免新技术、新工具带来的新风险敞口。
特别是白泽攻击面管理平台的常态化检查,其通过主机漏扫、web漏扫、自动化模拟攻击等操作,实现了主动以攻击者为视角,提前发现资产风险脆弱点,并进行整改的全新安全建设体验。
第三步:多阵营攻击面处置
一直以来,传统漏洞应急巡检手段高度依赖人工与漏扫,同时人工梳理系统潜在风险和漏洞的方式,缺少相互验证机制,难以对检测结果进行有效验证,使安全处置陷入被动。
在这一方面,丁安安表示民生证券攻击面管理体系基于自动化多源信息收集和多维度攻击面发现基础,在风险暴露前,先行通过下线废弃应用、联合应用团队修复缺陷和漏洞,整治弱口令、信息暴露等不规范行为,收敛不必要的互联网暴露,并通过隐身网关、加密隧道、全链路风险验证等方式强化安全。
对废弃、缺陷应用,不规范行为和不必要的暴露等攻击面进行处置的方式,切实帮助民生证券提前发现安全左移环节的问题和不足,驱动强化内生安全,实现了网络体系的风险管理与安全强化。
小结
“经过一年多时间的实践验证,民生证券在白泽攻击面管理平台的赋能下,已累计下线5个废弃系统,收敛39个公网暴露面,修复70余个重要漏洞和缺陷。”交流会上丁安安分享了民生证券攻击面管理系统的实践成果。基于白泽攻击面管理平台,民生证券安全团队在“大防御体系”基础上通过攻击面管理体系,进一步实现了资源重点投入在挖掘线上脆弱资产和攻击面上,主动以攻击者为视角,提前发现资产风险脆弱点并进行整改的新实践。
可以说,民生证券攻击面管理体系不仅仅突破了传统资产探测模式,还全方位汇聚企业内外部数字资产、信息泄露资产、云资产信息,实现全网资产可视化,切实实现小投入大产出的「效果安全」。
免责声明:市场有风险,选择需谨慎!此文仅供参考,不作买卖依据。
